[VPN] Hướng Dẫn Xây Dựng Hệ Thống OpenVPN

1355
12-03-2018
[VPN] Hướng Dẫn Xây Dựng Hệ Thống OpenVPN

Hướng Dẫn Xây Dựng Hệ Thống OpenVPN gồm 2 giai đoạn chính đó là: Kiểm tra sự hỗ trợ moule TUN/TAP tiếp theo là cài đặt phần mềm OpenVPN và cuối cùng là xây dựng hạ tầng công khai (PKI) cơ bản.

OpenVPN là một SSL VPN với đầy đủ tính năng để triển khai mạng bảo mật mở rộng OSI lớp 2 hoặc 3, sử dụng giao thức SSL / TLS tiêu chuẩn, hỗ trợ các phương thức xác thực linh hoạt chio khách hàng theo chứng chỉ: thẻ thông minh và / hoặc thông tin tên người dùng đăng nhập / mật khẩu. OpenVPN cho phép người dùng hoặc nhóm người dùng quyền truy cập vào các chính sách kiểm soát cụ thể bằng sử dụng các quy tắc tường lửa được áp dụng cho giao diện ảo VPN. OpenVPN không phải là một ứng dụng web proxy và không hoạt động thông qua một trình duyệt web.

OpenVPN 2.0 mở rộng khả năng của OpenVPN 1.x nhờ cung cấp chế độ máy khách / máy chủ co giãn linh hoạt, cho phép nhiều máy khách kết nối với một OpenVPN server process duy nhất trên một cổng TCP hoặc UDP duy nhất. OpenVPN 2.3 đem đến nhiều cải tiến lớn, trong đó bao gồm hỗ trợ đầy đủ IPv6 và hỗ trợ PolarSSL.

Bài viết sau đây Bizfly Cloud sẽ hướng dẫn bạn cấu hình VPN máy khách / máy chủ OpenVPN 2.x từng bước.

Cài đặt OpenVPN

Các bản phát hành gần đây (2.2 và mới hơn) cũng có sẵn dưới dạng các gói Debian và Ubuntu.

Bản OpenVPN executable sẽ được cài đặt trên cả máy chủ và máy khách, vì mỗi executable đều cung cấp cả hai chức năng máy khách và máy chủ.

[VPN] Hướng Dẫn Xây Dựng Hệ Thống OpenVPN - Ảnh 1.

Lưu ý cho Linux

Nếu bạn đang sử dụng Linux, tốt nhất bạn nên sử dụng cơ chế riêng của các bản phân phối (yum, apt-get, zypper, emerge ...) để cài đặt OpenVPN.

Cũng có thể cài đặt OpenVPN trên Linux bằng./configure method. Đầu tiên t cần mở rộng file .tar.gz:

tar xfz openvpn-[version].tar.gz

Sau đó, vào thư mục cấp cao nhất và gõ:

./configure

make

make install

Lưu ý cho Windows

Nên nhớ rằng OpenVPN sẽ chỉ chạy trên Windows XP trở lên. Cũng lưu ý rằng OpenVPN phải được cài đặt và chạy bởi người dùng có quyền quản trị (hạn chế này được áp đặt bởi Windows, chứ không phải OpenVPN). Các hạn chế có thể được sidestepped bằng cách chạy OpenVPN trên nền tảng như một dịch vụ; trong trường hợp này, ngay cả người dùng bình thường cũng sẽ có thể truy cập vào VPN, ngay khi nó được cài đặt.

Trình cài đặt OpenVPN chính thức bao gồm OpenVPN-GUI, cho phép quản lý các kết nối OpenVPN từ hệ thống tray applet. Các ứng dụng GUI khác cũng đều khả dụng.

[VPN] Hướng Dẫn Xây Dựng Hệ Thống OpenVPN - Ảnh 2.

Sau khi chạy trình cài đặt, OpenVPN sẽ sẵn sàng và tự động kết nạp file có đuôi .ovpn. Để chạy OpenVPN bạn có thể:

Click chuột phải vào file cấu hình OpnVPN (.ovpn) và lựa chọn Start OpenVPN on this configuration file. Khi trình cấu hình chạy, bạn có thể ấn phím F4 để thoát.

Chạy OpneVPN từ một lệnh nhắc của Window như "openvpn myconfig.ovpn". Khi chạy lệnh nhắc Window, F4 có thể dừng openVPN.

Chạy OpenVPN như một dịch vụ bằng cách thêm một hoặc nhiều file cấu hình .ovpn trong \Program Files\OpenVPN\config và bắt đầu dịch vụ OpenVPN, chương trình này có thể được điều khiển từ Start Menu -> Control Panel -> Administrative Tools -> Services.

Các hệ điều hành khác:

Thông thường, phương pháp:

./configure
make
make install

có thể được sử dụng, hoặc bạn có thể tìm một cổng hoặc package OpenVPN phù hợp với OS hay bản phân phối cụ thể của mình.

Xác định xem nên dùng routed VPN hay bridged VPN

Nhìn chung, sử dụng rout có lẽ là một lựa chọn được nhiều người dùng ưa chuộng hơn bởi nó dễ dàng và có hiệu suất cao khi cài đặt hơn là bridge. Rout cũng cung cấp khả năng kiểm soát có chọn lọc tốt hơn quyền truy cập trên 1 cơ sở khách hàng cụ thể.

Lời khuyên là nên sử dụng rout trừ khi bạn cần một tính năng cụ thể yêu cầu bridge, chẳng hạn như:

VPN cần có khả năng xử lý các giao thức không phải IP như IPX

- Bạn đang chạy các ứng dụng trên VPN dựa trên các chương trình phát sóng mạng (chẳng hạn như các LAN game) hoặc

- Bạn muốn cho phép duyệt các chia sẻ tệp Windows trên VPN mà không cần thiết lập máy chủ Samba hoặc WINS.

Đánh số các subnet riêng

Thiết lập VPN thường đòi hỏi phải liên kết các subnet riêng từ các vị trí khác nhau.

Cơ quan thẩm định số điện thoại Internet (IANA) đã bảo lưu ba khối không gian địa chỉ IP sau cho các internets riêng (được mã hóa trong RFC 1918):

10.0.0.010.255.255.255(10/8 prefix)

172.16.0.0172.31.255.255(172.16/12 prefix)

192.168.0.0192.168.255.255(192.168/16 prefix)

Mặc dù các địa chỉ từ các netblock này thường được sử dụng trong các cấu hình VPN, quan trọng là cần chọn địa chỉ giảm thiểu được các xác suất xảy ra xung đột địa chỉ IP hoặc subnet.

Xung đột từ các website khác nhau trên VPN sử dụng cùng một số LAN subnet, hoặc truy cập từ xa vào các kết nối từ các website đang sử dụng subnet riêng có xung đột với mạng con VPN của bạn.

Ví dụ: giả sử bạn sử dụng subnet phổ biến 192.168.0.0/24 làm LAN subnet riêng. Bây giờ bạn đang cố gắng kết nối với VPN từ một quán cà phê internet đang sử dụng cùng một subnet cho mạng LAN WiFi của nó. Bạn sẽ có xung đột rout vì máy của bạn sẽ không biết liệu 192.168.0.1 có đề cập đến cổng WiFi cục bộ hay đến cùng một địa chỉ trên VPN hay không.

Giải pháp tốt nhất là tránh sử dụng 10.0.0.0/24 hoặc 192.168.0.0/24 làm địa chỉ mạng LAN riêng. Thay vào đó, sử dụng phương pháp có xác suất thấp hơn được sử dụng trong WiFi quán cà phê, sân bay hoặc khách sạn nơi bạn có thể mong đợi kết nối từ xa.

Lựa chọn tốt nhất là mạng subnet nằm trong netblock 10.0.0.0/8 (ví dụ 10.66.77.0/24).

Và để tránh xung đột đánh số IP chéo, luôn sử dụng đánh số duy nhất cho LAN subnet của bạn.

Cấu hình OpenVPN để chạy tự động khi khởi động hệ thống

Việc thiếu các tiêu chuẩn trong lĩnh vực này có nghĩa là hầu hết các hệ điều hành đều có những cách khác nhau để cấu hình các daemon / dịch vụ tự khởi động. Cách tốt nhất để có chức năng này được cấu hình theo mặc định là cài đặt OpenVPN như 1 package, chẳng hạn như thông qua RPM trên Linux hoặc sử dụng trình cài đặt Windows.

Linux

Nếu bạn cài đặt OpenVPN qua gói RPM hoặc DEB trên Linux, trình cài đặt sẽ thiết lập bản initscript. Khi được thực hiện, bản initscript sẽ quét các tệp cấu hình .conf trong / etc / openvpn và nếu được tìm thấy, sẽ khởi động một trình tiện ích OpenVPN riêng biệt cho mỗi tệp. Khi được thực hiện, bản initscript sẽ quét các tệp cấu hình .conf trong / etc / openvpn và nếu được tìm thấy, sẽ khởi động một trình tiện ích OpenVPN riêng biệt cho mỗi tệp.

Windows

Trình cài đặt Windows sẽ thiết lập một Service Wrapper, nhưng để nó tắt theo mặc định. Để kích hoạt nó, vào Control Panel / Administrative Tools / Services, chọn dịch vụ OpenVPN, kích chuột phải vào các thuộc tính và thiết lập Startup Type thành Automatic. Thao tác này sẽ định cấu hình dịch vụ để tự động chạy trong lần khởi động tiếp theo. Khi bắt đầu, OpenVPN Service Wrapper sẽ quét thư mục \ Program Files \ OpenVPN \ config cho các tệp cấu hình .ovpn, bắt đầu một quá trình OpenVPN riêng biệt trên mỗi tệp.

Theo Bizfly Cloud chia sẻ

>> Có thể bạn quan tâm: Hướng dẫn cài đặt OpenVPN Server và Client trên CentOS 7

TAGS: VPN
SHARE